Microsoft Defender XDR Defender for Identity 엔터티 태그

이 문서에서는 중요한 Exchange 서버 또는 honeytoken 계정에 대해 Microsoft Defender for Identity 엔터티 태그를 적용하는 방법을 설명합니다.

중요한 그룹 수정 검색 및 횡적 이동 경로와 같이 엔터티의 민감도 상태 사용하는 Defender for Identity 검색에 중요한 계정에 태그를 지정해야 합니다.

Defender for Identity는 Exchange 서버를 중요한 고가치 자산으로 자동으로 태그를 지정하지만 수동으로 디바이스에 Exchange 서버로 태그를 지정할 수도 있습니다.
허니토켄 계정에 태그를 지정하여 악의적인 행위자를 위한 트랩을 설정합니다. honeytoken 계정은 일반적으로 휴면 상태이므로 honeytoken 계정과 연결된 모든 인증은 경고를 트리거합니다.

필수 구성 요소

Microsoft Defender XDR Defender for Identity 엔터티 태그를 설정하려면 사용자 환경에 배포된 Defender for Identity와 Microsoft Defender XDR 대한 관리자 또는 사용자 액세스 권한이 필요합니다.

이 섹션에서는 honeytoken 계정과 같이 엔터티에 수동으로 태그를 지정하거나 엔터티에 자동으로 중요한 태그가 지정되지 않은 경우를 설명합니다.

Microsoft Defender XDR 로그인하고 설정>ID를 선택합니다.
적용할 태그 유형( 민감도, Honeytoken 또는 Exchange 서버)을 선택합니다.

페이지에는 시스템에 이미 태그가 지정된 엔터티가 나열되어 있으며 각 엔터티 유형에 대한 별도의 탭에 나열되어 있습니다.
- 중요한 태그는 사용자, 디바이스 및 그룹을 지원합니다.
- Honeytoken 태그는 사용자 및 디바이스를 지원합니다.
- Exchange 서버 태그는 디바이스만 지원합니다.
추가 엔터티에 태그를 지정하려면 태그 사용자와 같은 태그... 단추를 선택합니다. 오른쪽에 태그를 지정할 수 있는 엔터티가 나열된 창이 열립니다.
필요한 경우 검색 상자를 사용하여 엔터티를 찾습니다. 태그를 지정할 엔터티를 선택한 다음 선택 항목 추가를 선택합니다.

예시:

다음 목록의 그룹은 Defender for Identity에서 중요한 것으로 간주됩니다. 중첩된 그룹 및 해당 멤버를 포함하여 이러한 Active Directory 그룹 중 하나의 멤버인 모든 엔터티는 자동으로 중요한 것으로 간주됩니다.

관리자
Power Users
계정 연산자
서버 연산자
인쇄 연산자
백업 연산자
복제자
네트워크 구성 연산자
들어오는 포리스트 트러스트 작성기
Domain Admins
도메인 컨트롤러
그룹 정책 크리에이터 소유자
읽기 전용 도메인 컨트롤러
엔터프라이즈 읽기 전용 도메인 컨트롤러
Schema Admins
Enterprise Admins
Microsoft Exchange Server

참고

2018년 9월까지 원격 데스크톱 사용자도 Defender for Identity에서 자동으로 중요한 것으로 간주되었습니다. 이 날짜 이후에 추가된 원격 데스크톱 엔터티 또는 그룹은 더 이상 자동으로 중요한 것으로 표시되지 않지만 이 날짜 이전에 추가된 원격 데스크톱 엔터티 또는 그룹은 민감도로 표시되어 있을 수 있습니다. 이제 이 중요한 설정을 수동으로 변경할 수 있습니다.

이러한 그룹 외에도 Defender for Identity는 다음과 같은 고부가가치 자산 서버를 식별하고 자동으로 중요한 것으로 태그를 지정합니다.